Anchises é um bom amigo que possui o mesmo humor e temperamento. Mas bem que ele não chuta o balde como eu faço, vai ver é a idade. Hehe

Ele escreveu um post bem interessante sobre o maior ataque DDoS de todos os tempos, mas da última semana. Coisa que concordo e muito com ele e por motivos simples:

  • Não chegamos ainda em um limite de acesso e velocidade que nós, usuários, podemos utilizar.
  • É de livre conhecimento a existência de rede zombies, tanto proprietárias quanto alugadas, e que servem para os mais diferentes meios de ataques

Juntando estes dois fatores nós temos este tipo de acontecimento, tratado por alguns jornalistas como histórico.

Agora, cai entre nós, fazer configuração nos servidores de DNS para mitigar um ataque de 300 Gbps é sacanagem né.

Eu já trabalhei nos maiores provedores deste país e a segurança para este tipo de ataque não fica no DNS, né. O ataque é Layer 3, logo roteadores são a primeira e mais importante barreira, junto com firewalls e outros equipamentos de segurança.

Mas fica difícil, até para o maior e melhor firewall do mundo, bloquear ataques com tanta banda assim.

O post na íntegra neste link ou abaixo:

É impossível ver uma notícia como “Organização antispam sofre maior ataque cibernético da história sem lembrar desta música dos Titãs:

“A melhor banda de todos os tempos da última semana
O melhor disco brasileiro de música americana
O melhor disco dos últimos anos de sucessos do passado
O maior sucesso de todos os tempos entre os dez maiores fracassos”

Segundo informações publicadas no blog da CloudFare, uma empresa que fornece serviço de proteção contra ataques de DDoS, o Spamhaus sofreu uma série de ataques de DDoS que atingiu um pico de 300 Gbps (gigabits por segundo). Até então, o maior ataque conhecido de DDoS tinha chegado a míseros 100 Gbps.

Segundo o G1, com 300 Gbps é possível transferir 37 filmes com qualidade DVD ou 55 CDs de música, em qualidade total, em apenas um segundo.

Projeto Spamhaus é uma organização global sem fins lucrativos dedicada ao rastreamento de Spammers, com o objetivo de identificar redes de origem de mensagens de SPAM e colocá-las em uma “black list” para prevenir o envio de SPAM. A lista da Spamhaus é utilizada por diversos provedores e empresas para diminuir o SPAM recebido por seus usuários.

O ataque contra o Spamhaus começou desde o dia 18 de março, e foi lançado aparentemente pelo Anonymous com o nome de “OpStopHaus”. A operação foi divulgada como um protesto contra a publicação de endereços IP pertencentes a provedores, operadoras e redes não conclusivamente ligados ao SPAM. Além disso, o Anonymous alega que o Spamhaus pratica chantagem e extorsão aos ISPs afetados por SPAM, para obrigá-los a proibir o envio de SPAM em suas redes. Coincidência ou não, a operação surgiu depois que a Spamhaus bloqueou o provedor holandês “Cyberbunker”, um provedor que promete hospedar qualquer conteúdo que não seja pedofilia e terrorismo. Segundo a Spamhaus, o Cyberbunker estaria sendo utilizado por spammers para enviar e-mails indesejados. Este tipo de provedor é conhecido como “bullet proofing host”, pois oferece serviço de hosting para qualquer tipo de conteúdo (incluindo sites criminosos), com a promessa de dificultar qualquer ação policial contra o site.

Segundo o post detalhado disponibilizado pela CloudFare sobre o início dos ataques, os ataques de DDoS contra o Spamhaus foram realizados na camada 3, e a principal técnica utilizada foi o de “DNS reflection”, que consiste em enviar vários pedidos de acesso ao arquivo de zona de servidores DNS usando um endereço IP de origem falsificado igual ao da vítima, que irá receber um grande número de respostas para a vítima. No início os ataques eram de 10 Gbps, depois alcançaram um volume médio de tráfego de 75 Gbps vindo de 30 mil servidores DNS, representando uma taxa de amplificação de 100 vezes (ou seja, para cada byte que os atacantes enviavam, a vítima recebia 100 bytes).

Segundo um post mais recente da CloudFare, em 19 de março, o ataque de DDoS aumentou de tamanho e atingou cerca de 90 Gbps. No dia 21 de março o ataque oscilou entre 30 e 90 Gbps atingiu 120 Gbps em 22 de março. Quando os atacantes perceberam que não podiam derrubar o serviço da CloudFlare, eles começaram a atacar os provedores de link Internet deles, os provedor de backbone Tier 1 que fornecem conectividade para um dos provedores Internet da CloudFare e até mesmo gateways que fazem a conectividade entre os bckbones da Internet, conhecidos como Internet Exchange (IX). Um dos provedores de backbone Tier 1 atacados reportou que os ataques alcançaram 300 Gbps de tráfego. Na medida que estes ataques tem aumentado, vários provedores de backbone foram congestionados, principalmente na Europa, afetando centenas de milhões de pessoas.

Ainda que 300 Gbps de tráfego seja um volume impressionante, o ataque só foi possível pois juntou uma combinação perfeita de técnica de ataque e alvo: o ataque na camada 3 usando amplificação de requisições DNS, foi direcionado aos provedores globais de backbone, que tem links com um tamanho tal a ponto de ser atingido por 300 Gbps de dados. Provedores pequenos teriam caído muito antes. Entretanto, da mesma forma que os ataques DDoS pularam de 100 Gbps em 2010 para 300 Gbps nesta semana, nada impede que um atacante com motivação e uma botnet grande o suficiente realize outros ataques maiores no futuro, e em breve este título de “maior ataque da história” poderá passar para outro.